殭屍網絡

殭屍網絡Botnet,或譯為喪屍網絡機械人網絡)是指黑客利用自己編寫的分散式阻斷服務攻擊程式將數萬個淪陷的機器,即黑客常說的傀儡機或肉機,組織成一個個命令與控制英語command and control (malware)節點,用來傳送偽造虛假封包或者是垃圾封包,並達到使預定攻擊目標癱瘓並「阻斷服務」的作用。通常蠕蟲病毒也可以被利用組成殭屍網絡。

殭屍網絡示意圖

最早的殭屍網絡出現在1993年,在IRC聊天網絡中出現。1999年後IRC協定的殭屍程式開始大規模出現。曾有一個新西蘭19歲的黑客控制了全球150萬台電腦,中國唐山的黑客也控制了6萬台中國的電腦對某音樂網站進行分散式阻斷服務(DDoS)攻擊,造成該網站不論將伺服器轉移到台灣還是美國都無法正常提供服務,損失上百萬元人民幣,河北唐山黑客的殭屍網絡規模也是中國目前為止最大的,目前這兩位黑客均已被逮捕。[1]

2011年4月13日美國聯邦司法部聯邦調查局(FBI)宣佈破獲大批中毒電腦所組成的「殭屍網絡」(botnet), 已全面關閉名為Coreflood伺服器和網絡域名,並依法對13名嫌疑人起訴。該網絡運作將近10年,全球有超過200萬台個人電腦被Coreflood惡意程式感染。[2]

用途

  • 分散式阻斷服務攻擊是殭屍網絡最常見的用途之一:在這種攻擊中,多個系統向一台電腦/服務提交儘可能多的請求,使其超載,阻止其為合法請求提供服務。谷歌欺詐專員Shuman Ghosemajumder表示,由於殭屍網絡變成了一種服務,這類導致主要網站中斷的攻擊將繼續、定期發生。[3]
  • 間諜軟件是一種向其建立者傳送用戶活動資訊(通常是密碼、信用卡卡號和其他可以在黑市上出售的資訊)的軟件。對機械人「牧人」來說,位於公司網絡內的被入侵機器可能更有價值,因為通常可以通過此類機器獲得公司的機密資訊。例如Aurora殭屍網絡就是針對大型企業的攻擊,意在竊取敏感資訊。[4]

危害程度

有害軟件 傳播性 可控性 竊密性 危害級別
殭屍網絡 具備 高度可控 全部控制:高
木馬 不具備 可控 全部控制:高
間諜軟件 一般沒有 一般沒有 資訊泄露:中
蠕蟲 主動傳播 一般沒有 一般沒有 網絡流量:高
病毒 用戶干預 一般沒有 一般沒有 感染檔案:中

表格來源[5]

參看

參考文獻

  1. ^ CNCERT/CC配合公安部門搗毀一大規模殭屍網絡 互聯網檔案館存檔,存檔日期2007-02-03.:2004年河北唐山黑客許某控制近十萬台「殭屍」,其中六萬多台在中國境內,包括部分政府和其他部門的電腦
  2. ^ 網路執法 關國際殭屍網路. 世界日報. 2011-04-14 [2011-04-18]. (原始內容存檔於2013-04-28) (中文(臺灣)). 
  3. ^ Here's why massive website outages will continue happening. Vox. 2016-10-24 [2022-07-31]. (原始內容存檔於2022-10-10). 
  4. ^ Operation Aurora — The Command Structure. Damballa.com. [30 July 2010]. (原始內容存檔於11 June 2010). 
  5. ^ CNCERT/CC的文獻《殭屍網絡的威脅和應對》

外部連結